3 Experttips om ISO-normen efficiënt te implementeren

april 12, 2024

security island
Als je begint met het implementeren van een ISO-norm, moet je bedenken welke zaken je moet regelen, zoals het inplannen van een interne en een externe audit. Als je zelf software ontwikkelt, moet je misschien een pentest uitvoeren om kwetsbaarheden te achterhalen. En daarnaast denk je na over welke mensen je (in- en extern) nodig hebt en wat het hele traject gaat kosten.

Kortom, er komt genoeg op je af. Om je in dit denkproces te ondersteunen, geven we in dit artikel een aantal tips hoe je op een efficiënte wijze je ISO-certificering voor elkaar krijgt.

1. Meerdere ISO-normen tegelijkertijd implementeren

Een vraag die we vaak krijgen, is of het raadzaam is om tegelijkertijd meerdere normen te implementeren. Bijvoorbeeld de ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit). Dit is inderdaad iets wat je redelijk eenvoudig kunt doen.

Er zit namelijk veel overlap tussen ISO-normen, bepaalde normeisen komen vaker voor in meerdere normen. Dan is het prettig als je software hebt waarbij je gewoon zo'n extra norm activeert en waarbij ook de overlap tussen die normen wordt ontdubbeld. Want dan zijn bepaalde normeisen eigenlijk direct automatisch van toepassing op die andere norm.

Zo hebben bijvoorbeeld veel van onze klanten vanuit hun branche te maken met de nieuwe Europese NIS2-wetgeving die op 17 oktober 2024 in werking treedt. Door deze wet moeten veel meer organisaties dan nu verplicht maatregelen nemen als het gaat om informatiebeveiliging.

Het is nog niet helemaal duidelijk wat die wet specifiek gaat voorschrijven. Maar we zien wel dat veel organisaties deze wetgeving aangrijpen als aanleiding om ook de ISO 27001-norm te implementeren. Want als je ISO 27001 geïmplementeerd hebt, voldoe je voor 90% ook aan de NIS2-wetgeving.

Is NIS2 relevant voor jouw organisatie?

De NIS2-wetgeving is voor een specifiek aantal branches en type organisaties bedoeld. Er is een lijst samengesteld van deze organisaties en er is ook een lijst van essentiële organisaties waar nog meer van wordt geëist.

Een ander belangrijk aspect aan de NIS2-wetgeving is de leveranciersketen. Alle organisaties die als belangrijk of essentieel zijn aangemerkt en aan de NIS 2-wetgeving moeten voldoen, moeten ook leveranciers hebben die aan de wet voldoen.

Op die manier wordt NIS2 relevant voor een veel groter aantal organisaties dan alleen die organisaties die als belangrijk en essentieel zijn aangemerkt. Dus NIS2 heeft impact op de hele keten van toeleveranciers.

2. Tegelijkertijd met andere organisaties een ISO-norm implementeren

Een andere manier om efficiënter te werken bij het implementeren van een ISO-norm, is om dat samen met (een) andere organisatie(s) te doen. Steeds meer organisaties kiezen ervoor om in groepsverband en gezamenlijk een certificeringstraject te doorlopen.

Wij bieden een dergelijk groepstraject aan via ons samenwerkingsverband met ISO Express waarbij wij met een aantal partners zoals Instant 27001, PuraSec en ESET samenwerken.

Organisaties hebben op deze manier alle benodigdheden bij de hand: van advies, tot ISMS ondersteunende software, tot templates en voorbeelddocumenten. Een bijkomend voordeel is dat je kunt sparren met security specialisten uit andere organisaties die in dezelfde situatie zitten. Door het uitwisselen van ervaringen leer je van elkaar en hoef je niet steeds in je eentje het wiel uit te vinden.

3. Medewerkers voor, tijdens én na het ISO-traject betrekken

Veel van onze klanten lopen er tegenaan dat het soms lastig is om medewerkers te betrekken bij een ISO-traject. Het is vaak een project dat naast de gewone werkzaamheden draait en men moet er extra tijd voor uittrekken.

Toch is het essentieel voor een efficiënte implementatie om medewerkers vooraf, tijdens en vooral tot lange tijd na het traject te blijven betrekken. Zodat ze op de hoogte zijn van alles wat er moet gebeuren. En dat ze hun aandeel in de verbeteringen en maatregelen goed kunnen uitvoeren.

Inzet van software die samenwerking bevordert

Zo kun je met goede software het mogelijk maken dat mensen overzicht hebben en houden op hun taken op een plek waar ze al werken. Bijvoorbeeld door taken in een Outlook agenda in te plannen. Of documentatie zoals een gedragscode via MS Teams beschikbaar te stellen. Dit is wat we met ISOPlanner ook mogelijk maken.

Want anders ontstaan er eilandjes van mensen die wel en die niet betrokken zijn. Je moet echt de hele organisatie meenemen in het traject en iedereen blijft attenderen op zijn of haar rol en wat dit voor hem of haar betekent.

Niet alleen in de periode tot aan de certificering, maar vooral ook daarna. Dan is het ook weer belangrijk dat je de middelen hebt om dat op een praktische en efficiënte manier te doen. Zodat je alle maatregelen die je moet implementeren en onderhouden, kunt delen met de organisatie en met z’n allen bij kunt houden.

Meer tips over ISO certificering?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

5 Veelgestelde vragen en antwoorden over ISO 27001 implementatie

Overweegt u uw organisatie te certificeren voor een ISO-norm? In dit artikel beantwoorden Maurice Pasman van Instant 27001 en Ivar van Duuren van ISOPlanner de meest gestelde vragen over ISO-certificering. 1. Wie zijn verantwoordelijk voor de implementatie van ISO...

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten